Перезагрузка системы после нескольких минут работы в Internet - Операционные системы M$

Tolsty · 21.01.2004, 17:14

Я недавно столкнулся вот с такой проблемой когда установил у себя на работе XP (до этого была W2k). После нескольких минут работы в Internet появлялось окошко с сообщением, что произошла остановка службы "Удаленный вызов процедур"("Remote procedure call") и необходима перезагрузка системы, которая произойдет через 1 минуту. Я подумал ну ладно хрен с ней с этой службой(хотя вообще-то она одна из самых важных). Зашел в Панель управления-Администрирование-Службы-Удалённый вызов процедур(RPC), Свойства вкладка Восстановление-Действие компьютера выполняемое при сбое службы и поставил вместо Перезагрузка компьютера, Не выполнять никаких действий, так кстати стоит по умолчанию в W2k. Но, как оказалось не всё так просто, теперь уже через несколько минут пребывания в сети никакой перезагрузки не происходило, но начинались многочисленные глюки связанные со сбоями той самой службы - RPC. Поскольку от неё зависят ещё много других служб они тоже останавливались и система оказывалась почти неработоспособной, даже перезагружаться не хотела стояло всё на одном месте, приходилось жать reset. Я подумал раз эти "чудеса" происходят во время работы в сети, то дай-ка я посмотрю, а куда же это мой комп лезет сразу во время подключения. Открыл Outpost - Сетевая активность, а там-посмотрите как интерестно, кроме DNS он стучит чего-то еще по трём адресам: первый точно не помню, но это не важно поскольку этот адрес блокировался Outpost-ом изначально, второй - 255.255.255.255 порт BOOTPS и третий самый интерестный - 239.255.255.250 порт 1900. И кому бы вы думали принадлежат эти адреса? А той самой IANA (находится в Штатах в Калифорнии) - это контора, которая изачально и ведает базой данных DNS И регистрирует интернет-адреса. То есть по 255.255.255.255 svchost.exe стучит, что мой комп загружен и находится в сети с таким-то адресом, а по 239.255.255.250, что система с таким-то ID работает в сети. В свою очередь IANA передает в Microsoft (или у них своя база данных) мой ID, а там не найдя данных о моей естественно не зарегистрированной XP сервер автоматом посылает команду моей системе на останов службы RPC, таким образом работа становится невозможной. Сделав такие крутые выводы я заблокировал в Outpost-е оба эти адреса и естественно
всё заработало совершенно нормально. Вот такие вот вирусы. Вы спросите, почему же в W2k такого не происходит и в XP тоже в большинстве случаев всё нормально? А потому, что W2k тоже стучит, но
только по 255.255.255.255 и сдесь это делает services.exe. А в XP это связано с тем, что использутся два способа лечения: в первом случае сразу после установки заменяются некоторые оригинальные файлы ломаными и XP уже не просит активации(например при попытке запустить активацию система говорит, что она уже произведена), а во втором запускается еще одна служба resetservice и не даёт запускаться "Мастеру проверки текущей лицензии"(при попытке активации выдается сообщение, что не удалось запустить "Мастер проверки лицензии"). Так вот у меня, как раз первый вариант. Кстати те же самые "чудеса" происходили у меня и в Windows2003 server web edition, которая не требует активации. Конечно может я и ошибаюсь со своими выводами и все эти дела происходят по другим причинам, но помоему здесь есть над чем задуматься, кого нам скоро надо будет больше бояться вирусов или...
Кто что думает по этому поводу?

SemKam · 21.01.2004, 17:54

Инфа из symantec.com:

When W32.Blaster.Worm is executed, it does the following:
Там идёт много фигни разной, далее

Some fixed characteristics of the TCP and IP headers are:
IP identification = 256
...
Source IP address = a.b.x.y, where a.b are from the host ip and x.y are random. In some cases, a.b are random.
Destination IP address = dns resolution of "windowsupdate.com"
TCP Source port is between 1000 and 1999
TCP Destination port = 80
TCP Sequence number always has the two low bytes set to 0; the 2 high bytes are random.

Интересно всё-таки, чё ж это он мелкософту постукивает...

Saruman · 21.01.2004, 17:56

SemKam
Да ничего он не постукивает, DoS-атаку хотели на windowsupdate провести

watson · 21.01.2004, 19:40

перезагрузка ещё бывает после того, как хватанёшь себе вирус, проверь систему на сканере.

-=DarkOne=- · 22.01.2004, 02:50

Tolsty

Я в обменик кинул прогу для удаления W32.Blaster.Worm (FixBlast.exe называется) и заплатку на винХП чтоб не ловить этот вирус вбудущем (WindowsXP-KB823980-x86-ENU.exe называется) скачай .тут или поиши в google.

Tolsty · 22.01.2004, 04:38

Так дело же сдесь не в вирусе я ж для чего это всё написал, как говорится информация к размышлению. XP была свежеустановленная программ там почти никаких не было установлено. В первый раз, как только вышел в Internet такая фигня стала твориться так, что вирус тут очень мало вероятен. Перезагрузка ведь получается не из-за вируса, а из-за того, что в саму систему встроена такая фигня которая позволяет удалённо останавливать службу RPS и тем самым блокировать работу в сети. Я же ведь заблокировал эти два адреса и всё стало в норме. Получается теперь так, что если кому надо из Microsoft или ещё кому могут отследить когда я нахожусь в сети и возможно даже что я делаю. Вы посмотрите в своих файерволах,(смотреть нужно именно в момент подключения всё происходит довольно быстро или как в Outposte журнал) что и ваши компы скорее всего передают какието данные по этим адресам, которые я указал. А если я их заблокировал и всё работает нормально так зачем же они нужны...

-=DarkOne=- · 22.01.2004, 05:24

Tolsty

Я не знаю кто у тебя куда стучится, но то что ты описиваеш происходит если подхватить вирус о котором тебе написал SemKam . Я лично подхватил этот вирус сразу как только установил винХП и вышел в инет скачать драйвер. Через минуту мой комп перезагружался сам при выходе в инет! И еще человек 20 моих знакомых у которых я этот вирус убрал с помощью тех программ о которых я написал раньше. Так вот ты всё таки попробуй FixBlast, проверка будет длится пару минут, и будеш знать наверняка.

P.S.: Напиши найдёт FixBlast что-нибудь или нет.

ZAHAL · 22.01.2004, 10:13

Вирус очень известный и его симптомы,много раз обсуждался и лечился на форуме.В поиске напиши ловесан или бласт получишь кучу инфы.Надо вылечить тем что тебе выше дают,а потом с сайта мелкомягких заплатки последнии поставить.

Supervisor · 22.01.2004, 10:46

Tolsty, трудно попробовать то что люди советуют? Говорят тебе что это интернет червь.

Romas · 22.01.2004, 12:07

У меня была таже проблема, я тоже после первого соединения поймал, но тоже не верил что такое может быть.
А как поставил заплатки, обновил антивир, то нашол сразу

Gerasim · 22.01.2004, 12:55

Кстати у Microsoft для удаления Blaster своя заплатка выпущена (KB833330)
http://www.microsoft.com/downloads/d...DisplayLang=ru

21.01.2004, 17:14	# 1
Tolsty Newbie Регистрация: 21.01.2004 Адрес: Minsk Сообщения: 24	Перезагрузка системы после нескольких минут работы в Internet Я недавно столкнулся вот с такой проблемой когда установил у себя на работе XP (до этого была W2k). После нескольких минут работы в Internet появлялось окошко с сообщением, что произошла остановка службы "Удаленный вызов процедур"("Remote procedure call") и необходима перезагрузка системы, которая произойдет через 1 минуту. Я подумал ну ладно хрен с ней с этой службой(хотя вообще-то она одна из самых важных). Зашел в Панель управления-Администрирование-Службы-Удалённый вызов процедур(RPC), Свойства вкладка Восстановление-Действие компьютера выполняемое при сбое службы и поставил вместо Перезагрузка компьютера, Не выполнять никаких действий, так кстати стоит по умолчанию в W2k. Но, как оказалось не всё так просто, теперь уже через несколько минут пребывания в сети никакой перезагрузки не происходило, но начинались многочисленные глюки связанные со сбоями той самой службы - RPC. Поскольку от неё зависят ещё много других служб они тоже останавливались и система оказывалась почти неработоспособной, даже перезагружаться не хотела стояло всё на одном месте, приходилось жать reset. Я подумал раз эти "чудеса" происходят во время работы в сети, то дай-ка я посмотрю, а куда же это мой комп лезет сразу во время подключения. Открыл Outpost - Сетевая активность, а там-посмотрите как интерестно, кроме DNS он стучит чего-то еще по трём адресам: первый точно не помню, но это не важно поскольку этот адрес блокировался Outpost-ом изначально, второй - 255.255.255.255 порт BOOTPS и третий самый интерестный - 239.255.255.250 порт 1900. И кому бы вы думали принадлежат эти адреса? А той самой IANA (находится в Штатах в Калифорнии) - это контора, которая изачально и ведает базой данных DNS И регистрирует интернет-адреса. То есть по 255.255.255.255 svchost.exe стучит, что мой комп загружен и находится в сети с таким-то адресом, а по 239.255.255.250, что система с таким-то ID работает в сети. В свою очередь IANA передает в Microsoft (или у них своя база данных) мой ID, а там не найдя данных о моей естественно не зарегистрированной XP сервер автоматом посылает команду моей системе на останов службы RPC, таким образом работа становится невозможной. Сделав такие крутые выводы я заблокировал в Outpost-е оба эти адреса и естественно всё заработало совершенно нормально. Вот такие вот вирусы. Вы спросите, почему же в W2k такого не происходит и в XP тоже в большинстве случаев всё нормально? А потому, что W2k тоже стучит, но только по 255.255.255.255 и сдесь это делает services.exe. А в XP это связано с тем, что использутся два способа лечения: в первом случае сразу после установки заменяются некоторые оригинальные файлы ломаными и XP уже не просит активации(например при попытке запустить активацию система говорит, что она уже произведена), а во втором запускается еще одна служба resetservice и не даёт запускаться "Мастеру проверки текущей лицензии"(при попытке активации выдается сообщение, что не удалось запустить "Мастер проверки лицензии"). Так вот у меня, как раз первый вариант. Кстати те же самые "чудеса" происходили у меня и в Windows2003 server web edition, которая не требует активации. Конечно может я и ошибаюсь со своими выводами и все эти дела происходят по другим причинам, но помоему здесь есть над чем задуматься, кого нам скоро надо будет больше бояться вирусов или... Кто что думает по этому поводу? Последний раз редактировалось Tolsty; 22.01.2004 в 04:45.

21.01.2004, 17:56	# 3
Saruman ::VIP:: Регистрация: 12.11.2002 Адрес: Nicosia, Cyprus Сообщения: 1 285	SemKam Да ничего он не постукивает, DoS-атаку хотели на windowsupdate провести __________________ "If people only knew how hard I work to gain my mastery, it wouldn't seem so wonderful at all." Michelangelo Buonarroti

21.01.2004, 19:40	# 4
watson ::VIP:: Регистрация: 10.10.2003 Адрес: Estonia Сообщения: 1 791	перезагрузка ещё бывает после того, как хватанёшь себе вирус, проверь систему на сканере. __________________ Я вернулся

22.01.2004, 02:50	# 5
-=DarkOne=- Member Регистрация: 22.02.2002 Адрес: TUD Сообщения: 242	Tolsty Я в обменик кинул прогу для удаления W32.Blaster.Worm (FixBlast.exe называется) и заплатку на винХП чтоб не ловить этот вирус вбудущем (WindowsXP-KB823980-x86-ENU.exe называется) скачай .тут или поиши в google. Последний раз редактировалось -=DarkOne=-; 22.01.2004 в 02:56.

22.01.2004, 10:46	# 9
Supervisor ::VIP:: Массовик-Затейник-2004 Регистрация: 17.06.2003 Адрес: -= Ростов-на-Дону =- Пол: Male Сообщения: 1 741	Tolsty, трудно попробовать то что люди советуют? Говорят тебе что это интернет червь. __________________ Когда на сердце так тоскливо, Что даже чай не лезет в глотку, Тебе поможет только пиво Которым запивают водку!

21.01.2004, 17:54	# 2
SemKam Junior Member Регистрация: 14.11.2002 Адрес: LTU Сообщения: 50	Инфа из symantec.com: When W32.Blaster.Worm is executed, it does the following: Там идёт много фигни разной, далее Some fixed characteristics of the TCP and IP headers are: IP identification = 256 ... Source IP address = a.b.x.y, where a.b are from the host ip and x.y are random. In some cases, a.b are random. Destination IP address = dns resolution of "windowsupdate.com" TCP Source port is between 1000 and 1999 TCP Destination port = 80 TCP Sequence number always has the two low bytes set to 0; the 2 high bytes are random. Интересно всё-таки, чё ж это он мелкософту постукивает...

22.01.2004, 04:38	# 6
Tolsty Newbie Регистрация: 21.01.2004 Адрес: Minsk Сообщения: 24	Так дело же сдесь не в вирусе я ж для чего это всё написал, как говорится информация к размышлению. XP была свежеустановленная программ там почти никаких не было установлено. В первый раз, как только вышел в Internet такая фигня стала твориться так, что вирус тут очень мало вероятен. Перезагрузка ведь получается не из-за вируса, а из-за того, что в саму систему встроена такая фигня которая позволяет удалённо останавливать службу RPS и тем самым блокировать работу в сети. Я же ведь заблокировал эти два адреса и всё стало в норме. Получается теперь так, что если кому надо из Microsoft или ещё кому могут отследить когда я нахожусь в сети и возможно даже что я делаю. Вы посмотрите в своих файерволах,(смотреть нужно именно в момент подключения всё происходит довольно быстро или как в Outposte журнал) что и ваши компы скорее всего передают какието данные по этим адресам, которые я указал. А если я их заблокировал и всё работает нормально так зачем же они нужны...

22.01.2004, 05:24	# 7
-=DarkOne=- Member Регистрация: 22.02.2002 Адрес: TUD Сообщения: 242	Tolsty Я не знаю кто у тебя куда стучится, но то что ты описиваеш происходит если подхватить вирус о котором тебе написал SemKam . Я лично подхватил этот вирус сразу как только установил винХП и вышел в инет скачать драйвер. Через минуту мой комп перезагружался сам при выходе в инет! И еще человек 20 моих знакомых у которых я этот вирус убрал с помощью тех программ о которых я написал раньше. Так вот ты всё таки попробуй FixBlast, проверка будет длится пару минут, и будеш знать наверняка. P.S.: Напиши найдёт FixBlast что-нибудь или нет.

22.01.2004, 10:13	# 8
ZAHAL Full Member Регистрация: 11.03.2003 Сообщения: 996	Вирус очень известный и его симптомы,много раз обсуждался и лечился на форуме.В поиске напиши ловесан или бласт получишь кучу инфы.Надо вылечить тем что тебе выше дают,а потом с сайта мелкомягких заплатки последнии поставить.

22.01.2004, 12:07	# 10
Romas Newbie Регистрация: 17.12.2002 Адрес: Vilnius, Lithuania Сообщения: 41	У меня была таже проблема, я тоже после первого соединения поймал, но тоже не верил что такое может быть. А как поставил заплатки, обновил антивир, то нашол сразу __________________ "Перед обедом полезно выпить рюмку водки, ну, а если не полезно, так уж не вредно, а если не вредно, так уж приятно" ("Два капитана" В. Каверин)

22.01.2004, 12:55	# 11
Gerasim Регистрация: 12.09.2002 Адрес: Russia Сообщения: 2 634	Кстати у Microsoft для удаления Blaster своя заплатка выпущена (KB833330) http://www.microsoft.com/downloads/d...DisplayLang=ru __________________ Барыня, конечно, сволочь, но собачку мы утопим...

Опции темы
Версия для печати Отправить на email